В: Можно ли отслеживать активность SSH в локальной сети (в пределах организации)?
Можно ли отслеживать активность SSH в локальной сети организации? В частности, возможно ли:
- Просмотр открытых SSH-соединений для каждого пользователя / машины, а также серверов, к которым они подключены
- Нюхать SSH трафик. Что если системный администратор знает мои ключи SSH?
Если я настрою свой SSH-сервер для приема соединений через порт 80 вместо порта 22, будет ли это выглядеть так, будто я просматриваю некоторые веб-страницы на удаленном компьютере? По сути, я хочу иметь возможность поддерживать SSH-соединение с каким-либо сервером и не беспокоиться о том, что кто-то в сети прослушивает соединение.
2 ответа
Просмотр открытых SSH-соединений для каждого пользователя / машины, а также серверов, к которым они подключены
Когда сетевой трафик покидает вашу систему, если вы физически не подключены к другой системе через перекрестный кабель, он проходит по крайней мере одну промежуточную систему. Программное обеспечение в этих промежуточных системах может записывать метаданные о каждом пакете, включая исходный IP/ порт и целевой IP/ порт. Расширенное программное обеспечение может даже выполнять такие вещи, как связывание потоков TCP, знать, какой протокол используется, и записывать такие вещи, как время, продолжительность и количество переданных байтов.
Для SSH было бы сложно соотнести сетевой трафик с пользователем, генерирующим его, без помощи вовлеченной системы, но если в записи системы пользователя есть какая-то программа, которая запускает какой процесс и аргументы командной строки, очевидно, что это можно вывести,
Нюхать SSH трафик. Что если системный администратор знает мои ключи SSH?
SSH зашифрован, что означает, что, в то время как вышеупомянутая информация может быть собрана (что верно для всего, что пересекает сеть), контент или полезная нагрузка передачи будут защищены.
Это можно расшифровать, если известен ключ SSH.
Безопасная оболочка
SSH по определению является безопасным, поскольку весь трафик зашифрован во время передачи по всем сетям. Прослушивание телефонных разговоров - это не то, о чем вам нужно беспокоиться по поводу SSH.
Вся цель SSH - создать зашифрованное соединение между клиентом и сервером, чтобы гарантировать, что никакая информация, передаваемая между ними, не будет видна ни в одной сети, кроме как в зашифрованном виде.
Изменение порта в любом случае мало что изменит для трафика, но в этом нет необходимости, как я уже говорил, SSH полностью зашифрован. В любом случае, в лучшем случае это будет только "Безопасность через непрозрачность", которая в любом случае не является безопасностью.
Взломанные ключи
Если у системных администраторов есть ваши SSH-ключи, прослушивание телефонных разговоров не будет вас беспокоить, поскольку они могут напрямую подключаться к серверу, не говоря уже о дешифровании трафика, отправляемого по сети.
Маловероятно, что у них есть ваши ключи, поскольку их невозможно отследить при отправке, так как они зашифрованы при передаче.
Просмотр сетевых подключений
Сетевые администраторы смогут определить, что ваша учетная запись пользователя и компьютер подключены к определенному IP-адресу на порту 22, но это все, что они смогут увидеть. Я не считаю это серьезной проблемой, если безопасность ваших серверов настроена правильно.
На SSH-сервере, подключенном к Интернету, один или два сетевых администратора, скорее всего, являются вашими наименьшими вероятными людьми, которые будут нацеливаться на ваш сервер, вы, скорее всего, обнаружите, что люди уже постоянно атакуют его, это называется "фоновым шумом Интернета". Это можно увидеть, просмотрев ваши логи авторизации. Пока включен только ключ авторизации, это не проблема, но лично мне нравится запускать fail2ban, чтобы отфильтровать эти соединения.
Проблемы безопасности SSH
Самая большая проблема при использовании SSH состоит в том, чтобы гарантировать, что злоумышленники не смогут получить доступ к самому серверу SSH, обычно с помощью атак методом перебора, но это также можно сделать с помощью гораздо более сложных целевых атак.
Самый простой и быстрый способ защитить сервер SSH - включить аутентификацию по ключу, а не по паролю.
Если возможно, вы должны удалить свой SSH-сервер из Интернета и разрешить доступ только внутренне или через VPN-соединение.
Существует много других способов защиты SSH-сервера, таких как двухфакторная защита и детонация пакетов.
Пример Telnet
Именно по этим точным причинам telnet больше не используется массово. Поскольку он не шифрует соединение, все данные по сети передаются в виде простого текста, включая пароль. Это означает, что любой пользователь в сети, который отслеживает пакеты или отслеживает журналы подключений, может легко получить информацию об имени пользователя и пароле, а также все остальное, отправленное по телнету. подключение.
Дальнейшая информация
Более подробную информацию о SSH можно найти здесь...